Share via

Distribuire Microsoft Sentinel side-by-side in un sistema SIEM esistente

  • Articolo

Il team del Centro operazioni di sicurezza (SOC) usa soluzioni di gestione centralizzata delle informazioni sulla sicurezza e degli eventi (SIEM) e di orchestrazione della sicurezza, automazione e risposta (SOAR) per proteggere il digital estate sempre più decentralizzato.

Questo articolo descrive come distribuire Microsoft Sentinel in una configurazione side-by-side insieme al siem esistente.

Selezionare un approccio e un metodo side-by-side

Usare un'architettura side-by-side come fase transitoria a breve termine che porta a un SIEM completamente ospitato nel cloud o come modello operativo a medio-lungo termine, a seconda delle esigenze SIEM dell'organizzazione.

Ad esempio, mentre l'architettura consigliata consiste nell'usare un'architettura side-by-side sufficiente per completare una migrazione a Microsoft Sentinel, l'organizzazione potrebbe voler rimanere con la configurazione side-by-side per più tempo, ad esempio se non si è pronti a passare dal sistema SIEM legacy. In genere, le organizzazioni che usano una configurazione side-by-side a lungo termine usano Microsoft Sentinel per analizzare solo i dati cloud.

Considerare i vantaggi e i svantaggi per ogni approccio quando si decide quale usare.

Nota

Molte organizzazioni evitano l'esecuzione di più soluzioni di analisi locali a causa di costi e complessità.

Microsoft Sentinel offre prezzi con pagamento in base al consumo e un'infrastruttura flessibile, offrendo ai team SOC il tempo necessario per adattarsi al cambiamento. Distribuire e testare i contenuti in modo ottimale per l'organizzazione e scoprire come eseguire completamente la migrazione a Microsoft Sentinel.

Approccio a breve termine

Vantaggi Svantaggi
• Offre al personale SOC il tempo necessario per adattarsi ai nuovi processi durante la distribuzione di carichi di lavoro e analisi.

• Ottiene una profonda correlazione tra tutte le origini dati per gli scenari di ricerca.

• Elimina la necessità di eseguire analisi tra SIEM, creare regole di inoltro e chiudere le indagini in due posizioni.

• Consente al team SOC di effettuare rapidamente il downgrade delle soluzioni SIEM legacy, eliminando i costi di infrastruttura e licenze.		 • Può richiedere una curva di apprendimento ripida per il personale SOC.

Approccio medio-lungo termine

Vantaggi Svantaggi
• Consente di usare i principali vantaggi di Microsoft Sentinel, ad esempio funzionalità di intelligenza artificiale, Machine Learning e analisi, senza allontanarsi completamente dal sistema SIEM legacy.

• Consente di risparmiare denaro rispetto al sistema SIEM legacy analizzando i dati cloud o Microsoft in Microsoft Sentinel.		 • Aumenta la complessità separando l'analisi tra database diversi.

• Suddivide la gestione dei casi e le indagini per eventi imprevisti multi-ambiente.

• Comporta maggiori costi di personale e infrastruttura.

• Richiede al personale SOC di essere informato su due diverse soluzioni SIEM.

Inviare avvisi o indicatori di attività anomale dal sistema SIEM legacy a Microsoft Sentinel.

  • Inserire e analizzare i dati cloud in Microsoft Sentinel
  • Usare il sistema SIEM legacy per analizzare i dati locali e generare avvisi.
  • Inoltrare gli avvisi dal sistema SIEM locale a Microsoft Sentinel per stabilire una singola interfaccia.

Ad esempio, inoltrare gli avvisi usando Logstash, API o Syslog e archiviarli in formato JSON nell'area di lavoro Log Analytics di Microsoft Sentinel.

Inviando avvisi dal sistema SIEM legacy a Microsoft Sentinel, il team può correlare e analizzare tali avvisi in Microsoft Sentinel. Il team può comunque accedere al siem legacy per un'analisi più approfondita, se necessario. Nel frattempo, è possibile continuare a distribuire le origini dati in un periodo di transizione esteso.

Questo metodo di distribuzione side-by-side consigliato offre un valore completo di Microsoft Sentinel e la possibilità di distribuire origini dati al passo giusto per l'organizzazione. Questo approccio evita la duplicazione dei costi per l'archiviazione e l'inserimento dei dati durante lo spostamento delle origini dati.

Per altre informazioni, vedere:

Per eseguire la migrazione completa a Microsoft Sentinel, vedere la guida completa alla migrazione.

Inviare avvisi e eventi imprevisti arricchiti da Microsoft Sentinel a un siem legacy

Analizzare alcuni dati in Microsoft Sentinel, ad esempio i dati cloud, e quindi inviare gli avvisi generati a un sistema SIEM legacy. Usare il siem legacy come singola interfaccia per eseguire la correlazione incrociata con gli avvisi generati da Microsoft Sentinel. È comunque possibile usare Microsoft Sentinel per un'analisi più approfondita degli avvisi generati da Microsoft Sentinel.

Questa configurazione è conveniente, perché è possibile spostare l'analisi dei dati cloud in Microsoft Sentinel senza duplicare i costi o pagare due volte i dati. Hai ancora la libertà di migrare al tuo ritmo. Man mano che si continua a spostare origini dati e rilevamenti in Microsoft Sentinel, diventa più facile eseguire la migrazione a Microsoft Sentinel come interfaccia principale. Tuttavia, è sufficiente inoltrare eventi imprevisti arricchiti a un siem legacy limita il valore ottenuto dalle funzionalità di analisi, ricerca e automazione di Microsoft Sentinel.

Per altre informazioni, vedere:

Altri metodi

Nella tabella seguente vengono descritte le configurazioni side-by-side non consigliate, con i dettagli relativi al motivo:

Metodo Descrizione
Inviare i log di Microsoft Sentinel al sistema SIEM legacy Con questo metodo, si continuerà a riscontrare i costi e le sfide di scalabilità delle soluzioni SIEM locali.

Si pagherà l'inserimento dei dati in Microsoft Sentinel, insieme ai costi di archiviazione nel sistema SIEM legacy e non sarà possibile sfruttare i rilevamenti SIEM e SOAR di Microsoft Sentinel, l'analisi, l'analisi del comportamento delle entità utente (UEBA), l'intelligenza artificiale o gli strumenti di analisi e automazione di Microsoft Sentinel.
Inviare log da un sistema SIEM legacy a Microsoft Sentinel Anche se questo metodo offre la funzionalità completa di Microsoft Sentinel, l'organizzazione paga comunque per due origini di inserimento dati diverse. Oltre ad aggiungere complessità dell'architettura, questo modello può comportare costi più elevati.
Usare Microsoft Sentinel e la soluzione SIEM legacy come due soluzioni completamente separate È possibile usare Microsoft Sentinel per analizzare alcune origini dati, ad esempio i dati cloud, e continuare a usare il siem locale per altre origini. Questa configurazione consente di definire limiti chiari per quando usare ogni soluzione ed evitare la duplicazione dei costi.

Tuttavia, la correlazione incrociata diventa difficile e non è possibile diagnosticare completamente gli attacchi che intersecano entrambi i set di origini dati. Nel panorama attuale, in cui le minacce si spostano spesso in un secondo momento in un'organizzazione, tali lacune di visibilità possono rappresentare rischi significativi per la sicurezza.

Usare l'automazione per semplificare i processi

Usare flussi di lavoro automatizzati per raggruppare e classificare in ordine di priorità gli avvisi in un evento imprevisto comune e modificarne la priorità.

Per altre informazioni, vedere:

Passaggi successivi

Esplorare le risorse di Microsoft Sentinel per espandere le competenze e sfruttare al meglio Microsoft Sentinel.

Prendere in considerazione anche l'aumento della protezione dalle minacce usando Microsoft Sentinel insieme a Microsoft Defender XDR e Microsoft Defender per il cloud per la protezione integrata dalle minacce. Trarre vantaggio dall'ampiezza di visibilità offerta da Microsoft Sentinel, mentre si approfondisce l'analisi dettagliata delle minacce.

Per altre informazioni, vedere: